Osoby, które w tym roku aplikowały o pracę w McDonald’s, mogły nieświadomie udostępnić swoje dane osobowe. Nazwiska, numery telefonów, adresy e-mail, miejsca zamieszkania i inne wrażliwe informacje były narażone na wyciek z powodu poważnych zaniedbań w zabezpieczeniach systemu rekrutacyjnego. Jak się okazuje, wystarczyło wpisać domyślny login oraz hasło "123456", by uzyskać dostęp do tysięcy rozmów kwalifikacyjnych prowadzonych przez sztuczną inteligencję.
System rekrutacji w McDonald’s zagroził milionom kandydatów. Winna była słaba ochrona i hasło „123456”
O sprawie poinformował badacz bezpieczeństwa Ian Carroll, który odkrył, iż można było bez trudu zalogować się do systemu administracyjnego firmy Paradox.ai – twórcy chatbota Olivia, przeprowadzającego rozmowy kwalifikacyjne dla McDonald’s. Po zalogowaniu Carroll uzyskał dostęp do kodu strony, a następnie – do pełnych historii rozmów, które chatbot przeprowadził z milionami kandydatów.
Osoby, które w tym roku aplikowały o pracę w McDonald’s, mogły nieświadomie udostępnić swoje dane osobowe. Nazwiska, numery telefonów, adresy e-mail, miejsca zamieszkania i inne wrażliwe informacje były narażone na wyciek z powodu poważnych zaniedbań w zabezpieczeniach systemu rekrutacyjnego.
Olivia, czyli chatbot wykorzystujący AI, obsługuje proces rekrutacyjny w około 90% franczyz McDonald’s. Zbiera podstawowe dane o kandydatach, pytania o dostępność czasową oraz wykonuje prosty test osobowości. Dane te są następnie udostępniane pracownikom działu HR za pośrednictwem systemu administracyjnego Paradox.
Choć strona rekrutacyjna McDonald’s zaleca kandydatom, by logowali się przez główny system, Carroll zauważył mało widoczny link, który prowadził do osobnego panelu logowania dla pracowników Paradox. Tam wystarczyło wpisać domyślny login oraz hasło "123456", by uzyskać dostęp do systemu.
Po analizie kodu i odkryciu odpowiedniego interfejsu API, Carroll uzyskał wgląd do 64 milionów aplikacji. Oprócz danych osobowych wyciekły również tokeny autoryzacyjne i informacje o zmianach statusu zatrudnienia.
Niestety zgłoszenie problemu firmie Paradox było utrudnione ze względu na brak danych kontaktowych do zespołu odpowiedzialnego za bezpieczeństwo. Dopiero po wysłaniu wiadomości do losowych pracowników sprawą zainteresowało się zarówno Paradox, jak i McDonald’s. Obie firmy potwierdziły, że problem został rozwiązany na początku lipca.
McDonald’s od jakiegoś czasu korzysta z AI także do zarządzania, monitorowania sprzętu oraz przetwarzania zamówień. Rok temu zakończono testy systemu głosowego do obsługi zamówień na drive-thru, opracowanego we współpracy z IBM.
Pomimo licznych ostrzeżeń dotyczących bezpieczeństwa w sieci, hasło „123456” nadal regularnie pojawia się w rankingach najczęściej używanych haseł. To oczywiście niesie za sobą ryzyko włamania na konto i wycieku danych.
Pokaż / Dodaj komentarze do: Dane milionów kandydatów do pracy w McDonald’s były zagrożone przez rażące zaniedbanie